Glosario de identidad digital: Conceptos, estándares y normativas clave

La identidad digital está transformando la manera en que las empresas verifican la identidad de sus interlocutores, y con ello surge un nuevo vocabulario difícil de seguir.

Este glosario ofrece una explicación sencilla de los términos que más encontrarás al leer sobre credenciales digitales, identidad verificada y los marcos regulatorios establecidos por gobiernos e industria. Hemos agrupado las definiciones en cuatro apartados:

• Conceptos fundamentales: los elementos básicos que explican cómo funciona la identidad digital.
• Roles en el triángulo de confianza: quién hace qué al emitir, custodiar y verificar una credencial.
• Estándares y formatos: las especificaciones técnicas en las que se basan las credenciales.
• Regulaciones y marcos de confianza: las leyes y estructuras de gobernanza que determinan la acreditación y uso de la identidad digital.

Conceptos fundamentales

A continuación, los conceptos y términos esenciales para el funcionamiento de la identidad digital.

Identidad digital: Versión electrónica de una persona, organización o cosa, utilizada en interacciones online. Una identidad digital agrupa información como nombre, fecha de nacimiento, dirección o títulos, que definen quién eres en un contexto determinado.

Credencial digital: Registro electrónico que acredita una información sobre una persona u organización. Puede ser un atributo de identidad (edad, nacionalidad), una cualificación (título universitario) o una autorización (licencia profesional). Una credencial digital es emitida por una organización de confianza y se comparte en formato electrónico, en vez de en papel o escaneada.

Credencial verificable: Una credencial digital que puede comprobarse criptográficamente, es decir, la organización que la recibe puede confirmar quién la emitió y si ha sido modificada desde su emisión. Las credenciales verificables eliminan las comprobaciones manuales y se validan al instante, sin necesidad de contactar con el emisor. Están basadas en estándares abiertos, especialmente el W3C Verifiable Credentials Data Model.

Más información sobre las credenciales verificables y su funcionamiento.

Atributo de identidad: Información específica sobre una persona, como nombre completo, fecha de nacimiento, dirección o nacionalidad. Una credencial suele incorporar varios atributos, aunque algunas se enfocan en un único atributo, como la prueba de edad.

Verificación de identidad (vs. autenticación): Dos conceptos relacionados pero diferentes. La verificación de identidad es la comprobación única que confirma que alguien es quien dice ser al crear su identidad por primera vez ante una organización. La autenticación consiste en comprobar, en cada acceso, que la persona que entra al servicio es la misma cuya identidad fue verificada al inicio.

Divulgación selectiva: Permite compartir solo la información estrictamente necesaria con el verificador, y no toda la credencial o un documento completo. Por ejemplo, demostrar que eres mayor de 18 años sin revelar tu fecha de nacimiento. La divulgación selectiva es una de las características esenciales de privacidad de las credenciales verificables.

Billetera de identidad digital: Aplicación segura, normalmente en un dispositivo móvil, que permite al titular almacenar sus credenciales digitales. Las credenciales se guardan en el propio dispositivo de la persona, no en una base de datos central, y el titular decide cuándo y con quién compartirlas.

Más información sobre las billeteras de identidad digital.

Identidad descentralizada: Modelo en el que las personas poseen y controlan por sí mismas sus credenciales, en vez de delegar la gestión a una organización central. Las credenciales se presentan directamente al verificador, que puede confirmar su autenticidad mediante criptografía, sin contactar al emisor original. Esto limita la difusión de datos personales y elimina la necesidad de grandes bases centrales de identidad.

Para saber más, consulta nuestra explicación sobre la identidad descentralizada.

Triángulo de confianza: Modelo de tres partes que describe el proceso de emisión, custodia y verificación de las credenciales digitales. Los tres roles son el emisor (organización de confianza que crea la credencial), el titular (persona u organización a la que pertenece) y el verificador (quien necesita validarla). Cada rol interactúa con los otros dos y juntos forman la base del funcionamiento de las credenciales digitales.

Interoperabilidad: Capacidad de que las credenciales emitidas por una organización sean aceptadas y verificadas por otra, sin importar el sistema, sector o país. La interoperabilidad permite que una credencial tenga utilidad más allá de su contexto inicial, y depende de estándares compartidos, no de integraciones puntuales entre proveedores concretos.

Roles en el triángulo de confianza

Cada credencial digital pasa por tres partes antes de ser reconocida como confiable, según el esquema del triángulo de confianza. Estos son los tres roles del modelo.

Emisor: Organización que crea una credencial digital y garantiza la veracidad de la información que contiene. Ejemplos: autoridades públicas que expiden documentos de identidad, universidades que otorgan títulos, organismos profesionales que conceden licencias. El emisor firma digitalmente la credencial para que posteriormente pueda verificarse su origen e integridad.

Titular: Persona u organización a la que pertenece la credencial, que la conserva y la comparte. En la mayoría de los modelos, el titular mantiene su credencial en su propio dispositivo y elige cuándo y con quién compartirla. No puede modificar la credencial por sí mismo.

Verificador (o parte de confianza): Organización que debe validar una credencial antes de prestar un servicio, cerrar una transacción o cumplir una obligación regulatoria. El verificador comprueba la firma digital de la credencial para confirmar que proviene de un emisor de confianza y no ha sido alterada. Según la normativa, también se suele denominar «parte de confianza».

Consulta nuestra explicación detallada sobre el triángulo de confianza.

Estándares y formatos

Las normas técnicas abiertas que permiten que las credenciales digitales funcionen de manera coherente en todos los sistemas y proveedores. No necesitas conocer en detalle todos estos términos, pero sus nombres aparecen a menudo en textos profesionales o legales.

Verifiable Credentials Data Model: Estándar abierto del World Wide Web Consortium (W3C) que define la estructura, firma y presentación de las credenciales verificables. Lo suficientemente flexible para cubrir muchos tipos de credenciales (documentos de identidad, expedientes académicos, etc.), es uno de los dos formatos principales mencionados en las especificaciones europeas y sectoriales.

mdoc: Formato de credencial definido en la norma internacional ISO/IEC 18013-5 para almacenar documentos de identidad en un dispositivo móvil. Un mdoc se firma criptográficamente y puede compartirse por Bluetooth, NFC o en línea para controles remotos. Específicamente diseñado para documentos de identidad, este formato se utiliza en programas gubernamentales de todo el mundo.

mDL: Permiso de conducir móvil. Una mDL es un tipo concreto de mdoc: versión digital de un permiso de conducir físico, que puede guardarse en una billetera de identidad digital y compartirse online. Varios estados de Estados Unidos, Australia y otros países ya emiten mDL, utilizadas frecuentemente para la verificación de edad o identidad en aeropuertos.

Credenciales con divulgación selectiva (SD-JWT VC): Formato de credencial basado en el estándar JSON Web Token (JWT), al que se añade la divulgación selectiva. Esto permite al titular compartir solo la información concreta que requiere el verificador. Este formato se emplea cada vez más en el ecosistema europeo, junto a los formatos W3C e ISO, y es citado en los actos de aplicación de eIDAS 2.0.

OpenID for Verifiable Credential Issuance (OID4VCI): Protocolo que define cómo el emisor envía una credencial digital a la billetera del titular. OID4VCI se basa en OAuth 2.0, muy utilizado por desarrolladores, y funciona con los principales formatos de credenciales. Es uno de los protocolos de emisión de referencia presentes en especificaciones europeas y sectoriales.

Infraestructura de clave pública (PKI): Tecnología criptográfica fundamental para crear y verificar firmas digitales. La PKI utiliza pares de claves privadas y públicas para demostrar que un documento firmado procede de quien posee la clave privada y que no ha sido modificado. La mayoría de soluciones de identidad digital y servicios de confianza se basan en PKI, también para firmas electrónicas avanzadas y cualificadas con eIDAS.

Regulaciones y marcos de confianza

Leyes y reglas que regulan la acreditación y uso de la identidad digital. Aunque varían según el país, todas evolucionan hacia: proveedores acreditados, credenciales válidas transfronterizamente y mayor control del usuario sobre sus datos.

Digital Identity Services Trust Framework (DISTF): Marco regulatorio y de gobernanza neozelandés para la acreditación de servicios de identidad digital, establecido por la ley Digital Identity Services Trust Framework Act 2023. El DISTF marca los requisitos para emitir o aceptar credenciales digitales verificadas en Nueva Zelanda. Está supervisado por una Autoridad independiente de gestión del Marco de confianza.

eIDAS 2.0: Reglamento (UE) 2024/1183, que actualiza el marco europeo para la identidad digital, firmas electrónicas y servicios de confianza. Su gran novedad es la introducción de la billetera europea de identidad digital, que cada Estado miembro de la UE debe poner a disposición de sus ciudadanos. eIDAS 2.0 también define los tres niveles de firma electrónica (SES, AES y QES) y el régimen de los proveedores de servicios de confianza autorizados a emitirlas.

Más información sobre eIDAS 2.0.

Firma electrónica simple (SES): Forma más básica de firma electrónica según eIDAS. Corresponde a escribir un nombre al final de un documento, pulsar un botón «Acepto» o insertar una imagen de firma. Las SES se aceptan para la mayoría de los contratos habituales donde no se exige autenticación reforzada.

Firma electrónica avanzada (AES): Firma electrónica con más garantías que la SES. Según eIDAS, una AES debe estar vinculada de manera única al firmante, permitir su identificación, ser creada bajo su control exclusivo y permitir detectar cualquier modificación posterior al documento firmado. La AES es común para contratos comerciales que requieren mayor trazabilidad.

Firma electrónica cualificada (QES): Nivel más alto de firma electrónica según eIDAS, y único equivalente legal a la firma manuscrita en toda la UE. Una QES debe generarse con un certificado cualificado emitido por un proveedor de confianza cualificado, y aplicarse mediante un dispositivo seguro certificado. Con eIDAS 2.0, la billetera europea de identidad digital facilitará en gran medida el acceso a la QES.

NIST SP 800-63: Las Digital Identity Guidelines del Instituto Nacional de Estándares y Tecnología de EE. UU., conjunto de recomendaciones técnicas muy citadas sobre validación de identidad, autenticación y federación. Aunque están dirigidas a agencias federales estadounidenses, sus exigencias influyen en muchos otros marcos internacionales.

Proveedor de servicios de confianza: Organización acreditada para ofrecer servicios de identidad o confianza, como emisión de certificados, validación de firmas o gestión de identidades digitales. En la UE, un «proveedor cualificado» (QTSP) es quien cumple los requisitos de eIDAS 2.0 y puede emitir firmas electrónicas cualificadas.

Registro de confianza: Lista gestionada por la entidad acreditadora que recoge los emisores y verificadores autorizados en un marco de confianza determinado. Los registros permiten comprobar de forma fiable que una credencial proviene de una fuente acreditada y facilitan una gobernanza coherente a escala de todo el ecosistema.